sécurité IOS
Ces fonctions de sécurité de plus haut niveau que les simples ACLs ont disponibles sur les IOS FFS (Firewall Feature Set). Les fonction de cet IOS sont :
Les paquets ne sont inspectés par le firewall que s'ils ne sont pas explicitement bloqués dans l'ACL de l'interface.
ip inspect name FW tcp ! interface fa0/0 ip access-groupe 101 in ip inspect FW in
Pour activer les alertes en temps réel avec un syslog :
logging on logging host 10.0.0.111 ip inspect audit-trail no ip inspect alert-off
Inspection avancée pour certains protocoles :
ip inspect name FW smtp alert on audit-trail on timeout 300 ip inspect name FW ftp alert on audit-trail on timeout 300
Le paramètre timeout indique le temps de vie d'une session idle (san trafic) avant d'être supprimée.
La SDM dispose d'un assistant simplifiant la configuration du firewall.
Vérifs :
show ip inspect session debug ip inspect [..]
Un IDS est un équipement passif (typiquement une sonde) et réactif (notification d'alertes)
Un IPS est un équipement actif (un routeur) proactif (blocage de trafic malicieux connu)
Les IPS et IDS peuvent être implantés sur le réseau (Netowrk-IPS ou NIPS) ou sur une machine (Host-IPS ou HIPS).
Il existe différentes approches de détection de trafic malicieux : signature-based, policy-based, anomaly-based, honeypot.
Configuration :
ip ips sdf location flash:signatures.sdf ip ips fail-closed ip ips name SECURIPS list 100 ! interface et0/0 ip ips SECURIPS in
Lorsqu'on modifie la base de signatures, par exemple en faisant un merge d'un nouveau fichier de signatures, il faut réappliquer la politique (SECURIPS) sur l'interface.